Ucrânia: Atualizações de antivírus falsas instalam o malware Cobalt Strike

ucrania-atualizacoes-de-antivirus-falsas-instalam-o-malware-cobalt-strike

Um alerta foi emitido pela Equipe de Resposta a Emergências de Computadores da Ucrânia informando que os agentes de ameaças estão distribuindo atualizações falsas de antivírus do Windows que instalam o Cobalt Strike e outros malwares.

Atualizações de antivírus falsas instalam o Cobalt Strike

Os e-mails de phishing representam agências governamentais ucranianas que oferecem maneiras de aumentar a segurança da rede e aconselham os destinatários a baixar atualizações críticas de segurança. Esses e-mails contêm um link para um site francês (agora offline) que oferece botões de download para as supostas atualizações de software AV.

Além disso, um outro site, nirsoft[.]me, também foi descoberto pelo MalwareHunterTeam como o servidor de comando e controle para esta campanha, aponta o BleepingComputer. Quando uma vítima baixa e executa esta falsa atualização do Windows BitDefender, uma tela é exibida solicitando aos usuários que instalem um Pacote Windows Update. No entanto, esta atualização realmente baixa e instala o arquivo one.exe do Discord CDN, que é um sinalizador Cobalt Strike.

ucrania-atualizacoes-de-antivirus-falsas-instalam-o-malware-cobalt-strike

Cobalt Strike

O Cobalt Strike é um conjunto de testes de penetração amplamente utilizado que oferece recursos de segurança ofensivos, facilita o movimento lateral da rede e garante a persistência. O mesmo processo busca um downloader Go que decodifica e executa um arquivo codificado em base 64.

Esse arquivo adiciona uma nova chave de registro do Windows para persistência e também baixa mais duas cargas úteis, o backdoor GraphSteel (microsoft-cortana.exe) e o backdoor GrimPlant (oracle-java.exe). Todos os executáveis ??da campanha são compactados na ferramenta Themida, que os protege de engenharia reversa, detecção e análise.

Dada a situação atual na Ucrânia, é fácil atribuir todas as atividades hostis a agentes de ameaças russos e pró-russos, e esse parece ser o caso aqui também. A Equipe Ucraniana de Resposta a Emergências de Computadores associa a atividade detectada ao grupo UAC-0056 com confiança média.

De acordo com o BleepingComputer, o UAC-0056, também conhecido como “Lorec53”, é um sofisticado APT de língua russa que usa uma combinação de e-mails de phishing e backdoors personalizados para coletar informações de organizações ucranianas.

O UAC-0056 foi visto aumentando seus esforços de distribuição de phishing e comprometimento de rede na Ucrânia desde dezembro de 2021. O mesmo ator foi visto atacando agências do governo georgiano com iscas de phishing no passado recente, então há um alto nível de coordenação e alinhamento com os interesses do estado russo.

Essa guerra virtual tem sido tão ofensiva quanto a guerra física e, os ataques á Ucrânia seguem acontecendo.

Via: BleepingComputer